电力监控系统安全防护方案
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇电力监控系统安全防护方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
电力监控系统安全防护方案范文第1篇
关键词:电力二次系统;安全防护体系;安全区;措施
中图分类号:TM727 文献标识码:A 文章编号:1007-0079(2014)33-0180-02
随着电网自动化、计算机网络及通信技术的飞速发展,电力系统自动化、信息化水平迅速提高。同时,电力调度系统的业务也不断丰富,很多系统存在着相互之间的数据业务交换,这些对系统的网络安全问题提出了更高的要求,电力二次系统的安全防护也变得更加重要和严峻起来。[1]为此,针对调度系统二次安全防护,相继出台了原国家电监会第5号令《电力二次系统安全防护规定》以及《电力二次系统安全防护总体方案》等指导性文件从政策和技术的层面明确了电力调度部门信息安全建设的具体措施。
为保障地区电网安全、稳定运行,抵御黑客、病毒、恶意代码等通过各种形式对电力二次系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪,依据相关政策文件,结合地区电网实际情况,设计和制定了地区调度控制中心二次系统安全防护方案。
一、电力二次系统安全防护体系
1.二次系统安全防护的相关原则
电力调度二次系统安全防护包括调度端、变电站内及纵向安全防护,按照国家电力监管委员会《电力二次系统安全防护规定》,电力二次系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证”。安全防护主要针对网络系统和基于网络的电力生产控制系统,重点强化边界防护,提高内部安全防护能力,保证电力生产控制系统及重要数据的安全,同时有效抵御外部的恶意攻击,防止发生电力二次系统安全事件或由此导致的一次系统事故、大面积停电事故,达到保障电网安全稳定运行的目的。[2,3]
“安全分区”是电力二次系统安全防护体系的结构基础,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(又称安全区I)和非控制区(又称安全区II),管理信息大区可以分为生产管理区(又称安全区III)和管理信息区(又称安全区IV);“网络专用”,是指生产大区的数据网络必须使用专网――电力调度数据网,其中电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区;“横向隔离”,是指在控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离;“纵向认证”是指采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。对于重点防护的调度控制中心、发电厂、变电站在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。[4,5]
电力二次系统安全防护的基本原则是,系统中安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠的自身安全防护措施,不得与安全等级较低的系统直接连接。
2.二次系统中安全区的划分
从横向角度看,为强化安全区的隔离,采用不同强度的网络安全设备,使得各安全区中的业务系统得到有效保护。安全区I与安全区II之间采用硬件防火墙进行隔离;生产控制大区与管理信息大区之间采用电力专用隔离装置进行隔离,并且限制数据业务的流向;从安全区I、安全区II去往安全区III单向传输信息必须采用正向隔离装置,由安全区III去往安全区I、安全区II的单向传输信息必须采用反向隔离装置。安全区III与安全区IV之间采用硬件防火墙进行隔离。[6]
安全区I中的业务系统或其功能模块的典型特征为:是电力生产的重要环节,直接实现对电力一次系统的实时监控,纵向使用电力调度数据网络或专用通道,是安全防护的重点与核心。典型业务系统包括能量管理系统、广域相量测量系统、配电自动化系统、变电站自动化系统等。
安全区II中的业务系统或其功能模块的典型特征为:是电力生产的必要环节,在线运行但不具备控制功能,使用电力调度数据网络,与控制区中的业务系统或其功能模块联系紧密。典型业务系统包括调度员培训模拟系统、水库调度自动化系统、电能量计量系统等。
安全区III中的业务系统或其功能模块的典型特征为:实现电力生产的管理功能,但不具备控制功能,不在线运行,可不使用电力调度数据网络,与调度控制中心工作人员桌面终端直接相关,与安全区IV的办公自动化系统关系密切。
安全区IV中的业务系统或其功能模块的典型特征为:实现电力信息管理和办公自动化功能,使用电力数据通信网络,业务系统的访问界面主要为桌面终端,包括办公自动化系统和管理信息系统等。[6]
二、地区电力二次系统安全防护体系
1.二次系统现有业务
某地调现有自动化系统包括:南瑞OPEN2000调度自动化系统、南瑞OPEN3000调度自动化系统、北京煜邦电能量计量采集系统、北京殷图变电站图像监控系统、电力调度运行管理系统(OMS)等。
其中,南瑞OPEN2000调度自动化系统SCADA部分于2000年7月投入运行,该系统在电网调度、运方、负荷预测等方面发挥着重要的作用。南瑞OPEN3000自动化系统是于2010年6月正式投入运行,实现了对地区电网的可靠运行控制,保证了地区电网监视、控制手段的完好,确保了地区电网的安全、稳定运行。北京煜邦电能量采集系统主要实现地调所有无人值班变电站的电能量信息、瞬时量信息的采集功能,完成变电站电能量数据的采集与处理、母线平衡计算、报表统计、线损统计分析等。北京殷图变电站图像监控系统实现了无人值班变电站空间范围内的建筑安全、防火、防盗,保障了站内输变电设备的正常运行,并在事故时保持与主站的图像通信。电力调度运行管理系统(OMS)涵盖了电网调度、运方、继保、自动化等各专业,是地调管理与生产的重要组成部分。
其中,OPEN2000调度自动化系统、OPEN3000调度自动化系统、电能量计量采集系统、变电站图像监控系统等均为独立建设的自动化系统,同时均开通了Web浏览业务。
2.二次系统安全防护的实施
依据电力二次系统安全防护方案,结合地区电网实际情况,电力二次系统划分为三个安全区。安全区I为内网,安全区III、安全区IV为外网,内网和外网之间通过电力二次系统专用安全隔离装置保证了内网和外网之间的安全程度很高的可控通信。
安全区I的网络边界通过电力通信专用网与三级数据网进行通信。安全区I的数据通过汇聚交换机和安全隔离装置实现与安全区III实时Web的通信。
安全区III的网络边界通过电力通信专用网与三级数据网进行通信,同时通过防火墙过滤与安全区IV的通信,安全区III的主要业务是电力市场模拟系统、开放了Web浏览业务的各系统等。安全区IV直接面向广域网,通过防火墙过滤与安全区III的通信,主要业务包括信息通信中心OA系统。
电力二次系统安全防护的实施选用的相关主要网络设备包括:
(1)安全隔离装置。通过部署安全隔离装置保证安全区I的网络安全性,使得整个二次系统网络的规划完全符合电力二次系统安全防护方案的部署要求,保证电力二次系统的安全性。
(2)华为网络交换机。为适应对电力二次系统的安全分区的改造,在安全区I布置了一台二层交换机,在安全区III布置了一台三层核心交换机,通过部署这两台交换机起到了分区隔离、专网专用的作用。同时,也是将安全区III和安全区IV划分清楚的重要措施。
(3)天融信防火墙。通过在安全区III、安全区IV之间部署国产防火墙,起到报文过滤的作用,保证安全区III的相对安全性。
(4)瑞星企业防病毒套件。为了进一步保证安全区III的安全稳定运行,在安全区III安装瑞星企业防病毒软件,增加安全区III的防病毒的能力。
3.二次系统安全防护设备的部署
正向隔离装置涉及到的业务为安全区I内EMS系统的实时通信、报表同步和负荷预测文本传输。其中EMS系统运行在主备网络结构上,主要的通信通过A网进行,实时通信和报表同步通过同一条链路实现。为了完成EMS系统的应用改造,通过在安全区I的华为S3025C二层交换机上划分一个单独的VLAN与正向隔离装置内网口的通信;外网直接接入安全区III的核心交换机华为S6502的专用于安全隔离装置的VLAN接口上。对于安全区I与安全区III的通信,安全区I的华为S3025C交换机与安全隔离装置相连的方式为普通二层交换机的连接方式,而安全区III与安全隔离装置外网的连接是基于路由的模式,需要配置MAC绑定和ARP报文通信。
反向隔离装置涉及到的业务为:安全区IV负荷预测计划信息文本反向传入安全区I内的EMS工作站。对于安全区I与安全区IV的通信,安全区I华为S3025C交换机与安全隔离装置相连的方式,相当于普通二层交换机的连接方式,而安全区IV与安全隔离装置外网的连接是基于路由的模式,需要配置MAC绑定和ARP报文通信。
在不改变安全区IV的网络通信环境,维持现有的工作状况下,将相关的系统划分到安全III区,接入到华为S6502网络核心交换机,基于不影响安全区IV原有网络通信环境的原则,防火墙运行在路由模式下应用地址转换规则,可以将安全区III和安全区IV的网段完全划分开来。
三、二次系统安全防护的有效措施
病毒防护是实时系统与数据网络的安全措施之一,病毒的防护应该覆盖所有安全区I、III、IV的主机与工作站。安全区I的病毒特征码要求必须以离线的方式及时更新。
主机安全防护主要的方式包括:安全配置、安全补丁和安全主机加固。安装主机加固软件,强制访问符合定义的主机安全策略,防止主机权限被滥用。通过及时更新系统安全补丁,消除系统内核漏洞与后门。
通过合理设置系统配置、服务、权限,减少安全弱点。禁止不必要的应用,作为调度业务系统的专用主机或者工作站,严格管理系统及应用软件的安装与使用。定期对关键应用的数据与应用系统进行备份,确保数据损坏及系统崩溃情况下快速恢复数据与系统的可用性。[4]
纵向安全防护体系的建设,可以完善电力二次系统的安全防护体系,避免出现安全防护中的“木桶现象”。纵向加密认证是安全防护核心的纵向防线,其具体实现是通过专用的电力加密认证网关来实现,目的是通过采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护[7]。
四、结语
地区电力调度控制中心电力二次系统的安全运行是地区电网安全运行的重要保证,根据电力调度控制中心电力二次系统的实际情况,严格按照“安全分区、网络专用、横向隔离、纵向认证”的电力二次系统安全防护总体原则,设计、制订并实施了地区电力调度控制中心二次系统安全防护方案,就二次系统安全防护设备的部署以及防护方案的具体实施进行了详细的叙述,结合行之有效的各种措施,有力保障了电力二次系统的安全运行。
同时,鉴于电力二次系统安全防护工程是一个长期的动态工程,二次系统的安全防护体系要在实施过程中根据生产实际需要不断加以修正和完善,以满足政策和文件中对电力二次系统安全防护所要求的系统性原则和螺旋上升的周期性原则。
参考文献:
[1]谢善益,梁智强.电力二次系统安全防护设备技术[M].北京:中国电力出版社,2012.
[2]陈霖.浅谈地区电网二次系统的安全防护[J].江西电力,2005,
29(3):10-12.
[3]张建庭,朱辉强.电力二次系统安全防护体系建设要点浅析[J].信息通信,2012,(6):279.
[4]周小燕,杨宏宇,崔恒志,等.地区电力调度中心二次系统安全防护[J].江苏电机工程,2005,24(2):50-52.
[5]臧琦,邹倩,郭娟莉,等.电网调度自动化二次系统安全防护实践[J].电子设计工程,2011,19(20):47-49.
电力监控系统安全防护方案范文第2篇
【关键词】安全防护 安全区 同步技术
电力二次系统的安全防护是指对电力实施系统和电力调度数据网络的安全采取一定的技术手段和必要的管理措施进行防护,从而有效地抵御来自外部的恶意攻击和侵害,在保持电力二次系统的稳定性的同时,防止发生安全事故或大面积停电事故,维持电网的安全稳定运行。
当前,电力调度数据网络正面临着前所未有的信息安全威胁,电力调度数据网络的安全关系着电力系统生产运行、国家经济安全和人民生民财产的安全。近年来,我国大力推广应用电力二次系统安全防护技术,取得了较好的安全防护效果。[1]同时,保持电力通信网络中各管理监控装置与自动化装置的精准同步,有利于对电力调度系统故障的分析、定位、鉴定责任和查找事故原因,提高电力系统的安全性。
1安全区的划分
根据《电网和电厂计算机监控系统及调度数据网络安全防护的规定》,电力二次系统共分为实时监控系统、调度生产管理系统、电力信息系统共3层,其中每层根据安全等级由高到低分为安全区Ⅰ、安全区Ⅱ、安全区Ⅲ和安全区Ⅳ。
安全区Ⅰ的范围包括面向调度员的秒级实时数据监控系统;面向运行方式、运行计划及电力市场交易员等的调度生产管理系统数据种类繁多,数据来源复杂,除了从自身测报或监控系统中获取的信息数据外,还有很多从电力系统以外获取的水文、气象信息,有些数据还需要对外,安全等级较低,因此,调度生产管理系统的主数据库和核心模块属于安全区Ⅱ,而与对外网络系统连接的接口部分以及需要对外数据信息的功能模块属于安全区Ⅲ和安全区Ⅳ。
2电力二次系统安全防护体系
电力调度系统网络通常包括监控系统网络、调度生产管理系统网络、电能量计费系统网络以及其它生产系统网络。其中,监控系统需要与调度生产管理系统、电能量计费系统间进行数据交换,同时,监控系统和调度生产管理系统还需要对外通过国家电力调度网等调度部门、地区水文局、水库、气象台等多家单位的相应系统进行数据交换,或对外。
根据电力二次系统安全防护总体方案的规定,在各安全区之间必须根据网络安全、带宽和实时性的要求,合理地选择隔离装置,越是在内层的安全区,其累计的安全程度越高。[2]硬件防火墙可部署于安全区I与安全区Ⅲ之间、安全区I、Ⅱ与外部网络连接之间,而在安全区I、Ⅱ与安全区Ⅲ、Ⅳ之间放置网关机,采用单向物理隔离设备。如此便形成了电力调度系统的第二道安全防线,阻止和拦截两个区域内部发起的恶意攻击行为。
3同步技术的实现
实施成功的网络安全隔离,不仅要使原有的应用功能可以继续使用,同时,要实现安全区I、Ⅱ与安全区Ⅲ之间的实时数据正向或反向同步。安全隔离同步软件是实现内外网之间的通信、数据同步以及文件的收集的重要途径。它将数据传输线路分为由内网向外网传输和由外网向内网传输的两条链路,并部署在不同的网关机上。安全隔离同步软件的功能模块主要由数据传输客户端、数据接收服务器端组成。
以目前在我国应用广泛的保信电力调度安全防护系统为例,安全区II用于查询、接收和发送数据的程序为nsTransmit,安全区III接收数据的程序是nsReceive,安全区III负责存储的程序是nsDataSave。正向隔离装置部署在nsTransmit与nsReceive之间。[3]
工作时,nsTransmit启动后不断尝试与配置中IP地址端口建立链接,直到建立链接。nsReceive启动后打开一个固定的监听端口,等待链接nsTransmit通过eventchannel的消息机制接收来自poweredit、prem、server的简要消息,依据简要消息查询数据库,得到详细信息,并组装成固定格式的流,若与receive链接,则向nsReceive发送数据。若未链接,则存入一个临时的xml文件.nsReceive将收到的信息存入一个.log文件中,.log文件的命名规则是:年月日时分秒毫秒序号.log,如201503161208152570000.log,以便避免文件名的重复,并将所有的文件存放在一个actionbackup文件夹中。此时,nsDataSave将定时检测actionbackup中的log文件,当检测到log文件时就根据顺序读取文件内容到内存,解析读取到的内容后保存到数据库中,最后删除已读取的log文件。采用这种数据同步方式,由于分别在II区和III区设置了缓冲文件,可以防止安全II区和III区未连接上的情况发生,避免了当发生突发性故障时,nsDataSave存储速度跟不上的情况。
4结语
切实贯彻落实《电力二次系统安全防护规定》,健全和完善电力二次系统安全防护体系,落实网络安全单向隔离技术,继而避免电力调度系统遭受黑客、病毒以及恶意代码等信息的侵害,防止由此引发电力一次系统的大面积停电事故和安全事故,是我国电力系统网络安全防护工作的首要任务。同时,完善同步操作机制,在电力调度系统中实现数据的单向安全传输,以便于分析故障、定位和明晰事故发生过程、减少事故隐患,对今后电力系统的智能化发展具有重要意义。
参考文献:
[1]高雅,高新华,梁智强.《基于 DAS 和 SAS 的电力二次安全防护测试平台设计与实现》工业控制计算机,2011.
[2]冯小安,祁兵.电力信息系统安全体系的构建[J].电网技术,2008,32(S1):77-80;
电力监控系统安全防护方案范文第3篇
关键词:变电站 二次系统 安全防护
1 变电站二次系统存在的安全风险
由于近些年电子计算机技术发展迅速,英特网、环球网和电子邮件等开始被人们广泛使用,网络病毒凭借这些平台开始大肆传播。计算机病毒会破坏计算机数据或功能,导致计算机不能正常使用,并且还可以进行自我恢复,具有极强的复制性、破坏性和传染性。美国微软公司曾经了一条安全报告,网络罪犯把中国的电脑用户当作最主要的侵害目标。而且在近一段时间,我国病毒侵害事件的发生率正逐步增长,给我国带来了巨大的经济损失。
在现阶段,变电站二次系统病毒主要是借助网络、U盘、局域网等来进行传播,设计安全防护方案时最重要的就是预防,并且能够使病毒攻击的可能性得到最大限度的降低。其中,最主要的风险包括:第一,网络入侵者通过发送非法控制的命令,进而使电力系统出现事故,更甚者会造成系统瓦解;第二,未经授权就使用电力监控系统的网络资源或者计算机,导致负载过重,进而使系统出现故障;第三,将大量数据发送给通信网关或者电力调度数据网,进而使监控系统或者网络瘫痪。
2 变电站二次系统安全防护设计
2.1 总体防护策略
变电站二次系统集控“五防”,其在设计安全防护措施时,必须要全国电力二次系统的防护策略:“安全分区,网络专用;纵向认证,横向隔离”。
2.2 划分安全区
综合分析变电站二次系统的特点,明确各项数据的流程,弄清楚当前的实际状况,同时分析各项安全要求,把变电站店里二次系统划分成三个安全区:其中,安全Ⅰ区是实施控制区,安全Ⅱ区是非控制生产区,Ⅲ区是生产管理区。安全区不一样,那么安全防护要求也会存在区别,防护水平及安全等级也会不一样。Ⅰ区具有最高的安全等级,Ⅱ区次之,剩下的以此类推。
在实时控制区中,安全区Ⅰ中的业务系统或功能模块可对电站进行实时监控,这也是其最显著的特征,在电力生产中发挥着无可取代的作用,系统通过调动数据网络和专用信道来实时在线运行。
在非控制生产区中,安全区Ⅱ中的业务系统或功能模块在电力生产中发挥着必要作用,但是不可实现对电力生产的控制,这是其最显著的特征。系统通过调度数据网络实现在线运行,且紧密联系着安全区Ⅰ中的业务系统或功能模块。
在生产管理区,安全区Ⅲ中的业务系统或功能模块可对电力生产进行管理,但无法控制电力生产,同时也不进行在线运行,其运行也无需在电力调度数据网络的支持下进行,而是直接关联着调度中心或控制中心工作人员的桌面终端,同时紧密连着着安全区Ⅳ的办公自动化系统。
2.3 安全区之间横向隔离要求
(1)应对安全区Ⅰ与安全区Ⅱ进行逻辑隔离,隔离设备选用的硬件防火墙或相当设备必须是通过有关部门检查核准的,对于E-mail、Web、Telnet、Rlogin等服务,应明令禁止,明确规定不能通过安全区之间的隔离设备。
(2)安全区Ⅰ、安全区Ⅱ与安全区Ⅳ要隔离开来,禁止发生直接联系。安全区Ⅰ、安全区Ⅱ与安全区Ⅲ之间也需要用电力专用单向安全隔离装置进行隔离,且选用的装置必须是得到国家有关部门认证的。
(3)对于E-mail、Web、Telnet、Rlogin等网络服务以及以B/S或C/S方式的数据访问功能,应明令禁止,明确规定不能通过专用安全隔离装置。专用安全隔离装置中只能单向安全传输纯数据。
2.4 纵向安全防护要求
(1)电力调度数据网用于连接安全区Ⅰ、安全区Ⅱ,电力企业数据网用于连接安全区Ⅲ和安全区Ⅳ。
(2)需对电力调度数据网进行进一步的划分,分别为逻辑隔离的实时子网和非实时子网,其中,实时子网与实时控制区连接,非实时子网与非控制生产区连接。
3 具体实施方案
3.1 加装硬件防火墙
在安全区之间进行防火墙的部署,以将两个区域的逻辑隔离、访问控制以及报文过滤等功能充分发挥出来。其中,基于业务流量的IP地址、协议、方向以及应用端口号的报文过滤是主要的防火墙安全策略。所以,在集控“五防”项目中,“五防”服务器端(纵向)和综合自动化后台中通讯依靠网络实现的“五防”子站,都进行了硬件防火墙的设置,以实现子站之间的隔离。
3.2 二次系统安全加固
以集控“五防”变电站二次系统安全防护方案为基准,进一步加固账号口令、网络服务、数据访问控制、审计策略等。
加固账号口令,具体操作内容包括,对账户权限进行重新配置,将多余用户及时删除,禁止使用Guest账号,进一步完善各项安全设置(设置内容包括用户口令、口令策略以及自动屏保锁定),禁止系统进行自动登录。以实现“五防”机的严格管理和安全登录使用。
加固网络服务,具体操作方法为:将无用服务、无关网络连接、远程桌面全部关闭,并禁止再行打开,进行访问控制策略设置,禁止匿名用户连接和默认共享。以使网络的安全运行得到充分保障,避免出现数据泄露或恶意破坏现象的发生。
加固数据访问控制,具体操作内容包括:对特定执行文件的权限进行限制,禁止文件共享,避免文件完全控制。
加固审计策略,进行系统审核策略的更新配置,并根据实际情况对日志大小进行调整,此外还需进行进一步的统一安全审计。
3.3 加装网络版杀毒软件
以集控“五防”变电站二次系统安全防护方案为基准,进行网络版防病毒软件的安装。在更新病毒特征码时,注意是要在离线的情况下进行更新,此外,更新要及时。此外,凡是集控“五防”二次系统涉及到的服务器和子站,都要进行瑞兴电力企业专用版杀毒软件的安装,此外,定期在一级服务器中对病毒库进行升级,以使维护的频次和工作量得到有效减少。
参考文献
[1]潘路.电力二次系统网络信息安全防护的设计与实现[D].华南理工大学,2014.
电力监控系统安全防护方案范文第4篇
伴随着社会的快速发展与信息化的不断发展,对电网进行扩大已经成为一个必然趋势,这也就对电网的全面综合管理提出了更高的要求,传统的综合管理模式已经无法满足时代的发展,因此国网公司应当依据实际发展情况对电网综合管理进行长远计划。在对综合网络管理系统进行规划设计前,首先应当对该系统的设计要求进行分析,基本确认在该系统投入运行之后需要拥有哪些功能,比如在进行计划时应当对网络覆盖程度进行预设,防止出现信息孤岛。而对电力系统实现综合网络管理其目的是为了实现对电网进行全面的监控并且对通信设备进行统一有效的管理,综合网络管理系统设计要求如下:(1)数据对电网的正常可靠运行十分重要,因此电力调度监控系统必须能够令电力网中的数据被完整地传输、交换,信息得到有效的传递,同时网络资源与设备也应当被统一全面且完整地进行记录与管理;(2)电力调度监控系统对电网运行有着较为重要的意义,该系统应当令通讯网络中的数据传输、交换以及信息传递等网络资源与设备能够得到较为有序的管理与记录;(3)电力调度监控系统对硬件也有着较高的要求,为了网络管理系统的良好正常运行,要求电力通讯网络中站点机房应当配有全套的动力设备,方便对系统进行及时、准确的监控与管理;(4)该系统不仅需要满足通讯网络的全面需求,同时也应当能够满足各个层次的工作需求,并对其进行管理以及监控。在对电力调度监控系统的基本要求进行分析时,相关设计人员应当较为清楚地明确该系统所应当具备的基本功能;另外,还应当考虑在实施该方案所应具备的各类条件,比如技术条件、经济条件等。在准备这些条件时,并不严格要求一定要完美,而是应当根据相应的要求选择合适的监控系统条件,并且将设计控制在合理的范围内,以保障经济性。
2电力调度监控系统网络构架
上文已经对综合网络管理系统的设计要求进行了简单阐述,此处将对电力调度监控系统的网络构架进行分析。对于电力调度监控系统来说,其可靠性十分重要,同时该系统也应当满足稳定性、实时性、开放性的要求。为了保证监控系统的可靠性,可以利用双网、双服务器主备冗余设计,对系统中的前置服务器、历史服务器以及实时服务器则应当使用双倍冗余设计,一旦在系统出现故障时,该系统能够及时自动地进行切换,保证系统能够正常稳定运行。同时双服务器的工作模式是负载分担的工作模式,而不是整租备用、整租切换的工作模式,使用这样功能的系统能够在很大程度上提升系统的处理效率,同时也提升了数据的准确性,在一定程度上降低了工作误差,有利于保证电网可靠运行。
3调度监控系统硬件配置
通常情况下,电力调度监控系统的硬件系统包括前置服务器、历史服务器、实时服务器、磁盘阵列、调度工作站以及维护工作站等,接下来将对系统中的前置服务器以及实时服务器进行介绍。
3.1前置服务器
此设备的主要作用是将其接受到的数据进行预处理,对上传的报文按照规定进行转化,所谓的转化就是将收到的原始报文转译为变电站遥测以及遥信数据的原始值,同时将这些翻译过的数据传送至实时服务器。如果想将这些工作顺利地进行,就必须对硬件提出更高的要求,比如要求计算机对于实时通讯的处理速度应当达到规定标准,与此同时计算机的性能也必须应当能够满足工作需求,对数据的处理速度、处理质量要达到标准。
3.2实时服务器
该设备调度监控系统的数据处理中心部分,其主要作用是记录并存储实时状态数据,前置服务器将数据传送给实时服务器,实时服务器对这些数据进行处理,通过这些数据可以获取变电站遥测、遥信数据的实际值,在固定的时间以及周期将这些数据存入库中,与此同时还要向其他的应用模块或者是系统传送真实可靠的实时数据,对实时服务器的硬件也有一定的要求,最主要的是应当具备较强的计算能力,若想提升调度监控系统的服务质量,就要求计算机的CPU以及内存具备较好的性能,以满足系统的容量扩展。
4电力调度监控系统安全防护
若想提升电力调度监控系统的安全性,就应当结合实际情况以及整体的设计方案对系统的安全管理进行设计,对监控系统安全性的要求包括应当能够有效地预防或者是抵制入侵病毒在系统中的扩散,使系统在遭到病毒入侵后能够快速的恢复,一般可以采用混合平台设计来提升电力调度监控系统的安全性。另外,依据国家对电力二次系统安全防护体系的要求,在提升监控系统安全防护等级时,应当针对不同地区的系统进行相应的安全分区设计,比如设置防火墙、杀毒软件等,努力构建一个安全系数高的电力调度监控系统。
5事项功能
该模块在监控系统中的主要作用在于事项收集以及分发,同时产生事项缓存文件工作。该模块应当能够在保护信号发出警告时,在监控人员监控界面上也出现相应的反应,其作用是收集电网产生的实时事项并传送至相关监控工作人员,收集控制系统产生的实时事项传送至相关监控人员。
6结语
电力监控系统安全防护方案范文第5篇
【关键词】电力调度;自动化网络;安全防范
近几年来,随着我国电网的快速发展,以及电网调度现代化程度的提升,对于电力调度自动化网络安全的要求也愈来愈高。而调度自动化信息网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,下面笔者将结合当前的网络安全情况展开分析。
1.当前电力调度自动化网络存在的安全隐患
1.1系统本身的安全隐患
电网调度自动化系统本身数据采集错误,造成自动发电控制调节电厂出力错误,影响电网安全运行。操作系统存在安全漏洞,未能及时升级和进行系统安全补丁加固。路由器和防火墙的安全策略设置不合理,网络拓扑结构变化和防护对象变化时没有及时调整。web服务器上没有关闭不必要的通信协议和服务,如telnet, ftp协议,端口开放过多等。
1.2外部网用户带来的安全隐患
用于远程诊断的拨号modem长期处于接通状态,没有采取安全防范措施,容易造成非授权用户未经许可拨号进入调度自动化系统的危险。
1.3内部网用户存在的安全隐患
部分用户安全意识淡薄,用系统工作站拨号进人外部公共信息网,对系统安全造成威胁。用户和维护人员口令简单,长时间不修改,易泄密,容易被越权使用,对系统造成危害。用户误操作影响系统可靠运行,维护人员编程错误或维护错误,影响系统的可靠运行。
1.4电力调度自动化网络安全管理工作不到位
主要表现在安全防护的有关规章制度不健全,安全防护技术措施和管理措施落实不到位,对安全防护工作的认识和重视程度有待提高。尤其是在设备管理方面,对各系统设置的专职维护人员没有明确其对设备的安全维护职责,没有严格限制在系统计算机上做任何与系统无关的事情,没有提供必要的工具对系统的运行情况进行监控,保证系统安全、非间断运行。
2.加强电力调度自动化网络安全防范的必要性
随着计算机网络技术的突飞猛进,数据网络在电力系统中的应用日益广泛,已经成为不可或缺的基础设施。然而,开放的信息系统必然存在众多潜在的安全隐患,黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中,安全技术作为一个独特的领域越来越受到全球网络建设者的关注。近年来调度自动化系统的内涵有了较大的延伸,由原来单一的SCADA系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、电力市场技术支持系统和调度生产管理系统等,数据网络是支持调度自动化系统的重要技术平台,承担着实时、准实时控制业务及管理信息业务。调度自动化信息还需要与省调自动化系统、局MIS连接,网络利用率较高,安全级别较低的业务与安全级别较高的业务混用,存在很多安全隐患。这就使保证信息的安全变得格外重要,有必要建立根据调度自动化系统中各种应用的不同特点,优化电力调度数据网,建立调度自动化系统的安全防护体系。
3.电力调度自动化网络安全控制
为了进一步加强电力调度自动化网络安全控制,必须健全相关的保密制度、安全控制策略及安全联防制度,将网络及系统安全作为经常性的工作来抓,全面化引进高素质、高专业水平的网络管理人员,并建立面向企业、应用系统、个人工作站的分级多层次和动态的安全策略体系,真正做好自动化网络的安全性。
3.1提高系统本身的安全性
系统本身存在着些许安全隐患,例如出现硬件故障等,因此,要求各有关单位应制定安全应急措施和故障恢复措施,对关键数据做好备份并妥善存放:及时升级防病毒软件及安装操作系统漏洞修补程序:加强对电子邮件的管理:在关键部位配备攻击监测与告警设施,提高安全防护的主动性。在遭到黑客、病毒攻击和其他人为破坏等情况后,必须及时采取安全应急措施,保护现场,尽快恢复系统运行,防止事故扩大,并立即向上级电力调度机构和本地信息安全主管部门报告。
3.2加强外部用户的网络安全控制
各电网、发电 、变电站等负责所属范围内计算机及信息网络的安全管理:各级电力调度机构负责本地电力监控系统及本级电力调度数据网络的安全管理:各相关单位应设置电力监控系统和调度数据网络的安全防护小组或专职人员,相关人员应参加安全技术培训和素质教育。对自然灾害我们要以预测为主,尽量的减小破坏程度,这就对电力监控系统作出很大的要求。电力监控系统要通过专用局域网实现与本地其他电力监控系统的互联,或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施。电力监控系统要做到早发现,早报告,早预防,早治理。
3.3加强内部用户安全管理
通过加强内部工作人员的责任心及运行管理,提倡值班调度员严格坚守岗位。调度员要对电网运行方式、电网主设备的运行状况和当班需要完成的工作,做到心中有数,并针对当时天气、电网运行方式和当班的主要工作,做好事故预想,提前做好应对措施,以便在发生异常时,能够及时果断进行处理。在进行调度操作时应一人操作、一人监护,特别复杂的重大操作应双重监护,操作前应核对现场实际运行方式,分析负荷平衡情况、无功电压运行情况,重大操作还应进行危险点分析和做好事故预想,防止来自内部的攻击、越权、误用及泄密。
3.4注重安全管理与安全防范技术培训工作
通过加强技术培训,提高调度人员的业务素质。培训工作应以实用为目标,突出技能训练和注重岗位练兵。如我公司调度人员在岗位培训的基础上,再送到仿真机进行培训,使之达到三熟三能的要求。三熟即熟悉本地区电网的一次系统图、主要设备的工作原理: 熟悉调度自动化系统的工作原理、电网继电保护配置方案及工作原理;熟悉本地区电网的各种运行方式的操作和事故处理及本岗位的规程制度。三能即能 I 确F令进行倒闸操作、正确投退继电保护及安全自动装置; 能运用自动化系统准确分析电网运行情况;能及时准确判断和排除故障,尽可能缩小事故范围。调度人员只有通过各种形式的培训学习,苦练过硬的本领,才能在指挥电网的运行和事故处理中做到准确无误。
4.小结
综上所言,由于电力调度自动化网络安全性能与整个电网运行的可靠性、正常息相关,必须加强电网调度自动化网络安全控制与防范,否则将极为容易出现事故,不利于配电网的安全控制。因此,事先制定电力调度自动化网络安全防范对策,从基础工作做起,全面化加强电力生产供应的安全性与可靠性。 [科]
【参考文献】
[1]金涛,曾凌.电力调度自动化系统发展探讨[J].科技致富向导,2011(26):145-146.
[2]徐扬.电力调度综合数据平台体系结构及相关技术探究[J].硅谷,2011(16):347-348.
